网络通信内容木马检测系统设计与实现

"这篇硕士学位论文主要探讨了基于网络通信内容的木马检测系统的设计与实现，作者姚姜源，指导教师周华春，属于信息网络与安全专业，于2009年完成。该研究针对网络安全威胁，尤其是木马问题，提出了一种新的网络层面的木马检测方案。传统的木马检测方法往往局限于单机防护，而此系统旨在提供更全面的网络监控。 论文首先深入研究了木马的基本原理和通信机制，分析了现有的木马检测技术和产品。接着，对比了多种数据采集技术，如Berkeley Packet Filter (BPF)、Libpcap、New API、Memory-Mapped I/O、PF_RING新型套接字和实时中断，以及各种模式匹配算法，如朴素模式匹配、Knuth-Morris-Pratt算法、Boyer-Moore算法和Boyer-Moore-Horspool算法。最终选择了集成PF_RING、New API和实时中断的数据采集技术，以及Boyer-Moore-Horspool匹配算法，用于网络通信内容的木马检测。 系统设计上，采用了分布式Client/Server架构，分为数据采集、协议分析、木马检测和响应操作四个层次。系统能实现高速数据采集，实时解析协议以获取关键信息，高速检测木马和TCP连接，并将检测结果实时存储到数据库。此外，系统还具备对特定TCP连接进行强制阻断的能力。 在实现阶段，论文详细描述了服务器、客户端以及各个模块（数据采集、协议分析、木马检测和响应操作）的实现流程、重要数据结构和模块接口。完成实现后，对系统的关键部分、模式匹配算法和TCP阻断功能进行了单独测试，以及整体性能测试。测试结果显示，系统各项功能正常，具有良好的稳定性，能在800Mbit/s至900Mbit/s的网络环境中稳定运行。 该论文为网络层面的木马检测提供了创新性的解决方案，对提升网络安全监管效能有重要价值。"